Vind jij het leuk als mensen een grap met je uithalen? Hoeveel mensen hebben jou weten te verrassen op 1 april? Wat zou jij ervan vinden als je IT-beveiliging een grapje met je zou uithalen?
In de tweede blogpost van deze reeks gaven wij het advies om een aantal zetten vooruit te denken. Dit helpt je om iets achter de hand te hebben voor als het misgaat. Toch geeft dit geen garanties. Hoeveel schaakzetten je ook leert, je hebt nooit de garantie dat je wint.
Helaas is dit ook zo met beveiligingsmaatregelen en software die digitale aanvallen moeten stoppen. De MITRE ATT&CK tactiek Defense Evasion bevat een lange lijst technieken die onze tegenstander kan gebruiken om onze beveiliging te omzeilen.
Het is heel vervelend als je beveiliging afhangt van één maatregel en de tegenstander dit kan omzeilen. Met genoeg rechten kan je bijvoorbeeld een virusscanner laten stoppen met controleren van een bepaalde map. Drie keer raden waar dan een virus komt te staan. Vaak kijken firewalls alleen naar verkeer van buiten naar binnen, maar niet naar datadiefstal van binnen naar buiten. Alsof je beveiligingsmaatregel zegt: “Grapje, ik heb er niet eens naar gekeken.”
Meerdere lagen
De oplossing is om beveiliging in meerdere lagen te hebben. Elke extra laag maakt het moeilijker voor de tegenstander. In de beveiligingswereld noemen we dit 'Defense in Depth'. Dit betekent dat je maatregelen moet hebben voor het geval er iets misgaat. Hoe meer je organisatie kan omgaan met chaos in IT (Security Chaos Engineering), hoe beter je beschermd bent tegen aanvallen van buitenaf en interne bedreigingen.
Gebruik firewalls, beperkte toegang, sterke wachtzinnen, tweefactorauthenticatie, netwerksegmentatie, antivirus, monitoring (ook van je maatregelen), back-ups en meer. In elke blogpost van deze reeks leer je hoe je je kunt beschermen tegen een stap van de aanval.
Maak van jouw organisatie geen digitale gatenkaas! En als een leverancier zegt: “Geen zorgen, u kunt ons vertrouwen. Wij zijn een grote speler en hebben nog nooit problemen gehad”, kijk dan snel op de kalender of het niet toevallig 1 april is.
Al met al, iets om over na te denken tijdens de koffiepauze. Volgende blogpost in deze reeks: Deel 9: Privilege Escalation